Domande di sicurezza non sono sicure Come proteggere i tuoi account

Sappiamo tutti che dovremmo creare password sicure. Ma, per tutto il tempo che passiamo a preoccuparci delle nostre password, c'è una backdoor a cui non pensiamo mai. Le domande di sicurezza sono spesso facili da indovinare e spesso possono ignorare le password.

Per fortuna, molti servizi si stanno rendendo conto che le domande sulla sicurezza sono molto insicure e le mettono alla prova. Google e Microsoft non offrono più domande di sicurezza per i loro account, ma puoi recuperare un account utilizzando un numero di telefono associato.

The Palin "Hack"

Questo non è solo un problema teorico. Yahoo! di Sarah Palin l'account di posta elettronica era notoriamente "hackerato" durante la preparazione delle elezioni del 2008. L '"hacker" ha appena usato il prompt di reimpostazione della password e ha risposto alla sua domanda di sicurezza. La domanda era dove ha incontrato il suo coniuge, e la risposta - Wasilla High - era accessibile con una rapida ricerca su Google.

Il problema con le domande di sicurezza

Questo non è solo un problema per Sarah Palin. Quando configuriamo gli account, dai conti bancari agli account e-mail, ci viene spesso chiesto di impostare una domanda di sicurezza. La maggior parte delle volte, ci verrà fornito un elenco di domande suggerite come "Dove sei andato alla scuola superiore?" E "Qual è il nome da nubile di tua madre?" Alcuni siti web ti permettono di creare la tua domanda, ma molta forza a scegliere dalla loro lista di domande suggerite. Alcuni siti Web ti obbligano a impostare più domande e risposte sulla sicurezza, il che significa che non puoi semplicemente scegliere una singola risposta facile da ricordare: devi scegliere diverse domande e ricordare tutte le risposte.

Il vero problema delle domande di sicurezza è che le risposte sono così ovvie. Le risposte a molte domande sulla sicurezza, da "Qual è il tuo compleanno?" A "Dove sei andato alla scuola superiore?" Sono di dominio pubblico, se qualcuno vuole guardare. Potrebbero persino essere in grado di cercarli su Google. Anche se le risposte non sono già di dominio pubblico, la maggior parte delle persone normali condividerà dettagli come quando hanno incontrato il loro coniuge e dove sono andati a scuola in una normale conversazione.

Nozioni di base sulla domanda di sicurezza

Se non hai mai ripristinato la password di un account, potresti non avere mai a che fare con le tue domande di sicurezza e potresti dimenticarti di loro. Spesso sei in grado di fare clic su un link che dice che hai dimenticato la password e, se rispondi correttamente alla domanda di sicurezza, hai accesso a tale account. In questo modo, le domande di sicurezza ti consentono di ignorare la tua password. Il tuo account non è più sicuro come la tua password, è sicuro solo quanto la tua domanda di sicurezza più ovvia.

Anche le risposte alle domande sulla sicurezza sono solo più facili da indovinare. Ad esempio, se la domanda è "Qual era il nome del tuo primo animale domestico?", È molto facile indovinare alcuni nomi di animali comuni. Non importa se la tua password è difficile da indovinare come "3 & 40 $ d #% $ t # kteyt". Se il nome del tuo primo animale domestico era "Fido" e rispondi con precisione alla domanda di sicurezza, la risposta sarà facile da indovinare.

Non tutti i servizi ripristinano il tuo account e danno accesso a qualcun altro solo perché conoscono la risposta alla tua domanda di sicurezza, ma alcuni lo faranno. Altri servizi utilizzano domande di sicurezza come parte di un processo di autenticazione che richiederà altre informazioni personali.

Come scegliere e rispondere alle domande di sicurezza

Tieni tutto questo in mente quando scegli domande e risposte sulla sicurezza. Scegli qualcosa che sarebbe difficile da scoprire o indovinare, non qualcosa di simile a dove andavi a scuola.

La seconda alternativa è quella di disattivare le domande di sicurezza. Ad esempio, se ti viene data la possibilità di scrivere la tua domanda di sicurezza, puoi inserire una domanda del tipo "Qual è la risposta?" O fare riferimento a un in-joke che solo tu vorresti sapere. È quindi possibile fornire una risposta che è sicura come la domanda - forse la tua coppia risposta / domanda è qualcosa come "Qual è la risposta?" "45D% po # Yih8d0Y $ fgp (i34t". Ora hai solo una seconda password per il tuo account - scrivilo da qualche parte in sicurezza o memorizzalo in un gestore di password come LastPass o KeePass in modo da poterlo accedere in caso tu ne abbia bisogno. Con una risposta come questa, in pratica hai solo una seconda password.

Ricorda che non devi rispondere alle domande in modo accurato. Ad esempio, se la domanda è "Dove hai avuto il tuo primo bacio?" E hai vissuto a New York per tutta la vita, probabilmente non vuoi entrare a New York - questa è una risposta davvero ovvia. Forse la tua risposta è "In a Crater on the Moon" o un'altra risposta sciocca che ricorderai ma altre persone avranno più problemi a indovinare. Naturalmente, anche questa risposta è più ovvia di una stringa apparentemente casuale. Forse la tua risposta a "Dove hai avuto il tuo primo bacio?" È 9je7% 5yry835 # 9reou & hf94 @ 7gt5. Anche se sei costretto a utilizzare una determinata domanda, sei libero di inserire qualsiasi risposta che ti piace finché riesci a ricordarla. Ovviamente, vorrai tenere al sicuro questa risposta nel caso in cui avessi bisogno di fornirla in futuro.

Le domande di sicurezza sono insicure. Ma, anche se sei costretto a usarli o costretti a usare una domanda insicura, non sei mai costretto a fornire una risposta accurata. Puoi inserire qualsiasi risposta che ti piace finché puoi ricordarla per dopo. Qualunque cosa tu faccia, assicurati di non aprire una backdoor che un utente malintenzionato potrebbe utilizzare per bypassare la tua password.

Immagine di credito: Paul Keller su Flickr